Aggiornamenti recenti Novembre 25th, 2024 12:15 PM
Nov 02, 2016 Marco Schiaffino Hacking, Leaks, News, Privacy, RSS 1
Il misterioso gruppo Shadow Brokers torna a far parlare di sé e lo fa con un messaggio in cui rendono pubblico un elenco di indirizzi IP che dovrebbero corrispondere a sistemi compromessi dal famigerato Equation Group, il team di hacker che fanno riferimento all’NSA.
Il gruppo Shadow Brokers si è fatto conoscere 3 mesi fa, quando ha pubblicato una parte dei tool che Equation Group avrebbe usato nelle sue azioni di spionaggio e su cui gli hacker sostenevano di avere messo le mani.
In quell’occasione il leak riguardava software che, come hanno potuto verificare gli esperti, sfruttava effettivamente delle vulnerabilità zero-day e aveva tutta l’aria di essere autentico.
In seguito il gruppo aveva anche cercato di vendere al miglior offerente altri strumenti di spionaggio provenienti dalla stessa fonte. L’asta però non era andata a buon fine e gli hacker hanno quindi optato per una raccolta di fondi online che aveva come obiettivo la “modesta” cifra di 6 milioni di dollari.
Ora questa nuova uscita confonde ulteriormente le acque. Le uniche certezze che si hanno, infatti, è che il messaggio proviene dallo stesso gruppo (hanno usato la stessa firma digitale) autore del primo leak.
Per il resto, estrarre informazioni certe è piuttosto difficile. Prima di tutto perché il testo che accompagna il rilascio del materiale, pubblicato il 31 ottobre, è decisamente sconclusionato.
Si tratta di un’accozzaglia di dichiarazioni e invettive senza né capo né coda, scritte on uno stile che sembra studiato a tavolino per far pensare che il messaggio sia opera di una persona di lingua russa, ma talmente macchiettistico da far dubitare della sua veridicità.
In secondo luogo perché l’elenco di indirizzi IP farebbe riferimento a sistemi compromessi da Equation Group tra il 2000 e il 2010, anche se il ricercatore Kevin Beaumont ha datato l’elenco al 2007.
Un periodo abbastanza lontano perché risulti difficile (se non impossibile) trovare qualsiasi riscontro fisico della presenza di un software spia dell’NSA nei sistemi indicati.
Al di là dei tanti dubbi sull’attendibilità (e rilevanza) del leak, i dati pubblicati dagli Shadow Brokers delineano uno scenario piuttosto inquietante. Nell’elenco ci sono più di 300 domini e altrettanti indirizzi IP che sarebbero stati compromessi dagli 007 statunitensi, la maggior parte dei quali in Cina, Giappone e Corea.
Non manca, però, l’Italia, che rientrerebbe tra i 10 paesi più colpiti dopo Cina, Giappone, Corea del Sud, Germania, Spagna, Taiwan, India, Russia e Messico. Per quanto riguarda il nostro paese, come per molti altri, sarebbero state presa di mira principalmente università (tra cui l’Università dell’Aquila e di Reggio Calabria) e centri di ricerca come il CNR.
I server compromessi nel nostro paese sarebbero dieci:
mailer.ing.unirc.it
bambero1.cs.tin.it
giada.ing.unirc.it
mail.irtemp.na.cnr.it
matematica.univaq.it
ns.ing.unirc.it
ns.univaq.it
sparc20mc.ing.unirc.it
dns2.net1.it
gambero3.cs.tin.it
Sotto il profilo tecnico, invece, il dato più interessante è che la maggior parte delle macchine compromesse sono basate su sistemi Solaris.
Il fatto che nel documento rilasciato da Shadow Brokers venga indicato come “Sun Solaris” e non come “Oracle Solaris” (Oracle ha acquisito Sun Microsystems nel 2009) confermerebbe, tra l’altro, la datazione suggerita da Beaumont.
Quello che è certo, piuttosto, è che per verificare se esistano riscontri effettivi della presenza di backdoor riconducibili ai servizi segreti USA (per esempio nei backup dei sistemi colpiti) sarà necessario parecchio tempo. E non è escluso che eventuali conferme arrivino dopo che il tutto sia già finito nel dimenticatoio.
Dic 06, 2023 0
Ott 06, 2022 0
Set 06, 2022 0
Giu 08, 2022 0
Nov 25, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Devi essere connesso per inviare un commento.
Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...
Sono il responsabile dei servizi informatici dell’Università Mediterranea di Reggio Calabria. Vi invito a verificare con attenzione quanto pubblicate, prima di mettere in cattiva luce la professionalità altrui. In particolare, TUTTI i sistemi citati sono spenti ormai da tempo e NESSUNO DI ESSI pubblicava la home page di Ateneo, usata invece come FUORVIANTE illustrazione per questo post.